Wiresharkの表示フィルタ ～基本操作編～では、Wiresharkの表示フィルタの基本操作について解説しました。今回は、複数の条件を組み合わせたフィルタについて解説します。
実際にフィルタを使用する際は、単一の条件でなく複数の条件で設定するケースのほうが多いですので、覚えておくと便利かと思います。

2022年10月にWireshark Ver.4.0がリリースされました。記述にあるVer.3.xはVer.3.6.9、Ver.4.xは4.0.1でそれぞれ検証しています。

フィルタ条件の論理結合

単一のフィルタ定義を論理結合することにより、複数の条件を設定できます。
使用可能な論理結合は、論理積(AND)、論理和(OR)、排他的論理和(XOR)、論理否定(NOT)です。
指定は、テキストではなく以下の表の()内にある論理演算子でも可能です。またテキストで指定する場合は、小文字で指定します。大文字だとエラーとなり、指定できません。

条件を追加する方法

Wiresharkの表示フィルタ ～基本操作編～でフィルタの設定方法は以下の３つあります、と紹介しました。

1. 直接パラメータを入力
2. 右クリックで関連したパラメータを指定
3. Packet Detail画面でヘッダ情報からドラッグアンドドロップでパラメータを指定

この方法は、条件を追加する際も同様に使えます。
条件Aに条件Bを追加する場合は、以下のとおりです。

1.の場合、条件Aがフィルタボックスに入力されている状態で"半角スペース"＋"論理演算(and|or|xor|not)"+半角スペース＋"条件B"を入力します。

2.の場合は、条件Aを右クリックで追加後、条件Bを右クリックで指定する際、"Apply as Filter"画面で論理演算を選択します。

3.の場合も同様です。あらかじめ条件Aがボックスに入力されている場合、条件Bをあらたにドラッグアンドドロップした際、"Apply as Filter"画面がでます。

2.と3.の方法で追加条件を指定した場合の選択肢の意味は以下のとおりです。

フィルタパラメータのチェック

フィルタボックスの背景色で入力パラメータのチェックが可能です。

緑：パラメータは正しい

背景色が緑の場合は、パラメータは正しいことを示しています。

黄：パラメータは正しいが、結果が意図通りではない可能性がある

背景色が黄の場合は、パラメータは正しいが結果が意図通りではない可能性があることを示しています。
Ver.3.xの場合、以下のように優先度が不明なときなどにも発生します。

この場合は、以下のように優先度を()で指定すると、正しく設定できます。

なお、Ver.4.xではこのような場合は、黄色表示が出なくなりました。Ver.4.xでは()で指定しない限り、"AND結合"は"OR結合"より優先されるようになっています。

また、WiresharkのVer.2まで使用されていた"bootp"や"ssl"を指定した場合にも背景は黄色となります。プロトコルが非推奨であり、現在のプロトコル名である"dhcp"や"tls"で指定すると、正しく設定できます。
Ver.2.xまでは、新しいプロトコル名では指定できませんでした。Ver.3.xになり現在のプロトコル名で指定が可能となり、古いプロトコル名での指定は非推奨となりました。Ver.4.xでもVer.3.xと同様の動きとなっています。（ただし、Ver.4.xでも今のところ動作はするようです。）

赤：誤りである

背景色が赤の場合は、パラメータは誤りであることを示しています。ですのでフィルタは動作しません。

あとがき

今回は、複数の条件での表示フォルタの設定方法について説明しました。この記事の内容は、Ver.4.xになってもそんなに変わらないかな、と思っていたのですが、"AND"と"OR"の優先度での黄色表示が出なくなっていました。これはこれで結構注意が必要かもしれません。（私の場合だけかもしれませんが…。）